Barikat Siber Güvenlik Logo

2024 Kişisel Verilerin Korunması Kanunu'nda Önemli Güncellemeler ve Yenilikler

2024 Kişisel Verilerin Korunması Kanunu'nda Önemli Güncellemeler ve Yenilikler  | Barikat Siber Güvenlik

2024 Kişisel Verilerin Korunması Kanunu'nda Önemli Güncellemeler ve Yenilikler

27/03/2024

Türkiye Büyük Millet Meclisi'ne sunulan ve 2 Mart 2024 Genel Kurul’da kabul edilen, Kişisel Verilerin Korunması Kanunu'nda ("Kanun") önemli değişiklikler içeren kanun teklifi, veri sorumlularını etkileyen kapsamlı öneriler sunmaktadır. Kanun değişikliklerinin Cumhurbaşkanlığı tarafından onaylanmasını takiben Resmi Gazete’de yayımlanarak 1 Haziran 2024 tarihinde yürürlüğe girmesi beklenmektedir. KVKK’da değişiklik yapılmasına dair Kanun da 12 Mart 2024 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.

2024 Kişisel Verilerin Korunması Kanunu Güncellemeleri

  • İlk olarak KVKK 6. madde kapsamında, Özel Nitelikli Kişisel Verilerin işlenmesi konusunda, belirli nedenler olmadan bu verilerin işlenmesi yasaklanmış ve bu verilerin işlenmesi için özel koşullar getirilmiştir.
  • KVKK 9. madde kapsamında, Yurt Dışı Veri Aktarımı alanında, Kurul'un belirleyeceği uluslararası standartlara uygun olarak veri aktarımı yapılmasına izin verilmekte, ayrıca yeni mekanizmalar ve izinlerle yurt dışına veri aktarımı kolaylaştırılacaktır.
  • KVKK 18. Madde kapsamında ise, İdari Para Cezası değişikliği ile de standart sözleşmelerin Kurum'a bildirilmemesi durumunda yüksek miktarda para cezası uygulanacaktır. Aynı zamanda yargı yolu konusunda da getirilen değişiklikler, Kurul'un idari para cezalarına karşı idare mahkemelerine de dava açma imkânı getirmektedir.
  • Yapılan Bu Değişiklik Veri Sorumlularını Ne Şekilde Etkiler?

    Değişiklik Teklifi'nin Kanun'u uluslararası standartlara yaklaştırdığı ve pek çok soruna çözüm sunduğu ancak, uygulamadaki değişikliklerle birlikte, veri sorumlularının ve işleyenlerin uyum çabalarını artırması gerektirdiği görülmektedir. Değişikliklerin TBMM tarafından kabul edilmesi ile birlikte, veri sorumlularının Kanun’a uyum için yaptıkları çalışmaları gözden geçirmeleri, aydınlatma metinlerini güncellemeleri, yurt dışı aktarımın taraflarıyla Kişisel Verileri Koruma Kurumu’na sunulacak standart sözleşme hükümlerini kabul ederek, bu hükümleri Kurum’a bildirmeleri gerekecektir. Ayrıca, değişiklikler ile birlikte yurt dışı aktarımı bakımından bildirim yükümlülüğünün ihlal edilmesi halinde veri işleyenler hakkında da idari para cezası uygulanacaktır. Değişiklik Teklifi’nin 1 Haziran 2024 tarihinde yürürlüğe girmesi planlanmaktadır. Bu kapsamda, Veri sorumlularının ve veri işleyenlerin süreci yakın şekilde takip etmesi ve veri işleme süreçlerini değişikliklere uygun hale getirmek adına çalışmalara başlaması önerilmektedir.

    Şimdi Soruyoruz: Hangi Maddeler Ne Kapsamda Değişti?

    KVKK kapsamında yapılan değişiklikle, 6., 9. ve 18. maddelerde güncellemeler yapılmıştır. Yapılan değişikliklikler sonucunda, KVKK gerekliliklerinin GDPR’a biraz daha yakınlaştırıldığı gözlemlenmiş ve bu değişiklikler ile Veri Sorumluları’nın aklında kalan soru işaretlerinin giderilmesi ve özel nitelikli kişisel veri işleme şartları ile yurt dışına veri aktarımı konusunda esneklik tanınması hedeflenmiştir. İlgili değişiklikler aşağıdaki gibidir:

    Özel Nitelikli Kişisel Verilerde Yapılan Değişiklikler

    Eski maddeye göre, özel nitelikli kişisel verilerin işlenmesi genel olarak yasaktı ve istisnai durumlar sınırlıydı. Örneğin, ilgili kişinin açık rızası veya kanunen öngörülen haller gibi belirli koşullar sağlanmadıkça bu tür verilerin işlenmesi mümkün değildi. Ancak, değişiklikle birlikte, işlenme yasağı daha esnek hale getirilmiştir. Bu kapsamda sağlık ve cinsel hayata ilişkin verileri, sadece 6. maddenin 3.fıkrasında belirtilen amaçlarla işleyecek olan ve sır saklama yükümlülüğü altında bulunan yetkili kurum ve kuruluşlar/kişiler dışında kalan kişilerin de, anılan verileri açık rıza aranmaksızın işlemeleri mümkün hale getirilmiştir.

    Artık, ilgili kişinin açık rızası, kanunen öngörülen hallerin yanı sıra, fiili olarak rıza açıklanamayacak durumda olan kişilerin hayatı veya beden bütünlüğünün korunması gibi özel durumlar da işlenmeyi mümkün kılmaktadır. Ayrıca, sağlık hizmetlerinin yürütülmesi veya belirli hukuki yükümlülüklerin yerine getirilmesi gibi belirli amaçlar için de işlenme izni verilmektedir.

    Bu değişiklik, özel nitelikli kişisel verilerin işlenmesinde daha fazla esneklik sağlamakta ve belirli durumlarda işlenmelerine izin vermektedir. Bu durum, özellikle sağlık hizmetleri gibi hassas alanlarda daha etkin bir veri işleme sürecine olanak tanıyabilecektir. Bununla birlikte, Kurul tarafından belirlenen yeterli önlemlerin alınması gerekliliği ile, veri işleme süreçlerinin denetim altında tutulmasını ve veri güvenliğinin sağlanmasını güvence altına almaktadır.

    İşbu kanun değişikliği uyarınca özel nitelikli kişisel verilerin açık rıza olmaksızın işlenebileceği haller arasında “istihdam, iş sağlığı, sosyal güvenlik ve sosyal hizmetler alanındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması; siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması” yer almaktadır.

    Eski 6. Madde

    Özel nitelikli kişisel verilerin işlenme şartları

    MADDE 6 - (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

    (2) Özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

    (3) Birinci fıkrada sayılan sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir.

    (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

    Değişiklik Sonrası 6. Madde

    Özel nitelikli kişisel verilerin işlenme şartları

    MADDE 6- (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.

    (2) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi;

    a) İlgili kişinin açık rızasının olması,
    b) Kanunlarda açıkça öngörülmesi,
    c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
    ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması,
    d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması,
    e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması,
    f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması,
    g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür.

    (3) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.

    Önemli Özel nitelikli kişisel verilerin işlenmesi belirli koşullara bağlanmıştır. Sağlık ve cinsel hayata ilişkin verilerin işlenmesi için açık rıza gerekmektedir. Ancak kamu sağlığının korunması, tıbbi hizmetlerin yürütülmesi gibi belirli durumlarda bu kuralın dışına çıkılabilmektedir. Mevcut düzenlemeye göre, sağlık verisi sadece belirli kurumlar tarafından işlenebilmekte ancak diğer sektörlerde de bu verilere ihtiyaç olduğu belirtilmektedir. Yasa değişikliğiyle, özel nitelikli kişisel verilerin işlenme koşulları güncellenmektedir. Yasanın 2. maddesi, özel nitelikli verilerin işlenmesinin genel olarak yasak olduğunu belirtmektedir, ancak belirli durumlarda bu yasağın dışında kalınabileceğini vurgulanarak 2. maddenin geçerliliği kaldırılmıştır.

    Yurt Dışına Kişisel Veri Aktarımında Yeni Düzenlemeler

    Mevcut madde, kişisel verilerin yurt dışına aktarılmasını düzenlerken, açık rıza olmadan bu aktarımın gerçekleşemeyeceğini belirtmekteydi. Ancak yeni düzenleme ile, yeterlilik kararı alınması halinde veri sorumluları ve veri işleyenler kişisel verileri yurt dışına aktarabilecektir. Yeterlilik kararı, Kurul tarafından verilecek ve belirli aralıklarla değerlendirilecektir. Yeterlilik kararı verilirken, aktarılacak ülke veya kuruluşun Türkiye ile ilişkileri, ilgili mevzuatı ve uygulamaları, veri koruma kurumunun varlığı ve uluslararası sözleşmelere üyelik durumu dikkate alınacaktır.

    Yeterlilik kararı alınamadığı durumlarda, uygun güvencelerin sağlanması ve belirli koşulların yerine getirilmesi halinde yine veri aktarımının gerçekleşebileceği, ayrıca kamu kurum ve kuruluşlarının, kamu hukukuna tâbi faaliyetlerine (veri işleme şartının kanunlarda açıkça öngörülmesi şartıyla) bu düzenlemenin uygulanmayacağı belirtilmiştir.

    KVKK'nın eski 9. maddesine göre, kişisel verilerin yurt dışına aktarılabilmesi için ilgili kişinin açık rızası veya aktarılacak ülkenin yeterli korumayı sağladığına dair KVKK Kurulu'nun yazılı olarak karar vermesi gerekiyordu. Ancak bu düzenleme, pratikte bazı sorunlara yol açmıştır.

    Türkiye'nin hiçbir ülke hakkında yeterlilik kararı vermemesi nedeniyle, kişisel verilerin yurt dışına aktarılması sürecinde sıkıntılar yaşanmaktadır. Mevcut sistemde, Türkiye'den yabancı ülkelere kişisel veri aktarılması, ilgili kişilerin tek tek açık rızasının alınması dışında, sadece Türkiye'deki ve ilgili ülkedeki veri sorumlularının yeterli bir koruma sağlayacaklarını yazılı olarak taahhüt etmeleri ve KVKK Kurulu'nun izin vermesiyle mümkündür.

    Yeni KVKK değişikliği ile, Avrupa Birliği'nin GDPR'ı ile uyumlu bir şekilde kişisel verilerin yurt dışına aktarılmasını yeniden düzenlemiştir. Bu değişikliklerin amacı, ticari hayatı ve yatırımları desteklemek ve dijitalleşmeyle birlikte artan ihtiyaçları karşılamaktır. Yeni yöntemler öngörülerek, ilgili kişilerin hakları korunacak şekilde veri aktarımı kolaylaştırılmıştır.

    Eski 9. Madde

    Kişisel verilerin yurt dışına aktarılması

    MADDE 9- (1) Kişisel veriler, ilgili kişinin açık rızası olmaksızın yurt dışına aktarılamaz.

    (2) Kişisel veriler, 5 inci maddenin ikinci fıkrası ile 6’ncı maddenin üçüncü fıkrasında belirtilen şartlardan birinin varlığı ve kişisel verinin aktarılacağı yabancı ülkede;
    a) Yeterli korumanın bulunması,
    b) Yeterli korumanın bulunmaması durumunda Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması, kaydıyla ilgili kişinin açık rızası aranmaksızın yurt dışına aktarılabilir.

    (3) Yeterli korumanın bulunduğu ülkeler Kurulca belirlenerek ilan edilir.

    (4) Kurul yabancı ülkede yeterli koruma bulunup bulunmadığına ve ikinci fıkranın (b) bendi uyarınca izin verilip verilmeyeceğine;
    a) Türkiye’nin taraf olduğu uluslararası sözleşmeleri,
    b) Kişisel veri talep eden ülke ile Türkiye arasında veri aktarımına ilişkin karşılıklılık durumunu,
    c) Her somut kişisel veri aktarımına ilişkin olarak, kişisel verinin niteliği ile işlenme amaç ve süresini,
    ç) Kişisel verinin aktarılacağı ülkenin konuyla ilgili mevzuatı ve uygulamasını,
    d) Kişisel verinin aktarılacağı ülkede bulunan veri sorumlusu tarafından taahhüt edilen
    e) Önlemleri, değerlendirmek ve ihtiyaç duyması hâlinde, ilgili kurum ve kuruluşların görüşünü de almak suretiyle karar verir.

    (5) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

    (6) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

    Değişiklik Sonrası 9. Madde

    Kişisel verilerin yurt dışına aktarılması

    MADDE 9- (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir.

    (2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve kuruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir.

    (3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dikkate alınır:

    a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu.
    b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar.
    c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koruma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması.
    ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslararası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu.
    d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu.
    e) Türkiye’nin taraf olduğu uluslararası sözleşmeler.

    (4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullanma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir:

    a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi.
    b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bünyesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı.
    c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarımının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı.
    ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi.

    (5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bildirilir.

    (6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulunmaması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kaydıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir:

    a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi.
    b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleşmenin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması.
    c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması.
    ç) Aktarımın üstün bir kamu yararı için zorunlu olması.
    d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması.
    e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin aktarılmasının zorunlu olması.
    f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması.

    (7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve kuruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz.

    (8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır.

    (9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.

    (10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklıdır.

    (11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönetmelikle düzenlenir.

    18. Madde İdari Para Cezaları ve Yargı Yolu Değişiklikleri

    Bu maddede yapılan değişiklik, kişisel verilerin yurt dışına aktarılmasıyla ilgili bildirim yükümlülüğünün ihlal edilmesi durumunda getirilen ceza miktarını artırarak, daha caydırıcı bir yaklaşımı temsil ediyor. Bildirim yükümlülüğünün yerine getirilmemesi, kişisel verilerin korunması ve güvenliği açısından önemli bir risk oluşturabilir. Bu nedenle, bu tür ihlallerin cezalandırılmasıyla birlikte, veri sorumlularının daha dikkatli ve titiz bir şekilde bildirim yükümlülüklerini yerine getirmesi teşvik edilmektedir. Bu değişiklik, kişisel veri koruma mevzuatının daha etkin bir şekilde uygulanmasına ve kişisel verilerin daha iyi korunmasına katkıda bulunabilir.

    1. 18. Madde’de Yapılan İdari Para Cezası Değişikliği

    KVKK Kabahatler değişikliği ile, yurt dışına kişisel veri aktarımı için yeni bir düzenleme getirmiştir. Bu yeni değişiklikte en yaygın aktarım şekli standart sözleşmelere dayalı olan aktarımdır. Yeni değişiklikte, eski yasağın yerine kontrollü serbestlik ilkesi getirilmiştir ve bu değişikliğin merkezi unsuru standart sözleşmelerdir. Bu nedenle, standart sözleşmelerle ilgili özel bir bildirim zorunluluğu getirilmiştir ve bu bildirim yükümlülüğüne ilişkin yaptırım da belirlenmiştir.

    KVKK'nın 9. maddesine eklenen 5. fıkra ile standart sözleşmenin imzalanmasından itibaren beş iş günü içinde KVK Kurumu'na bildirilmesi zorunlu hale getirilmiştir. Bildirim yükümlülüğünü yerine getirmeyenlere 50.000 TL ile 1.000.000 TL arasında idari para cezası verilecektir. Ayrıca, veri işleyenlerin de bu yükümlülüğe uyması gerektiği belirtilmiştir.

    KVKK’nın 18. maddesindeki değişiklik ayrıca, idari para cezalarının muhatabı olarak sadece veri sorumlularını değil, veri işleyenleri de kapsamaktadır. Bu değişikliklerle, yurt dışına kişisel veri aktarımı sürecindeki sorumlulukların ve yaptırımların daha net bir şekilde tanımlanması hedeflenmektedir.

    2. 18. Madde’de Yapılan Yargı Yolu Değişikliği

    KVKK Reformu kapsamında önemli bir değişiklik, KVK Kurulu kararlarına karşı yargı yolunun açılmasıdır. KVKK'nın 18. maddesine eklenen üçüncü fıkrayla, "Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir." hükmü getirilmiştir. Bu değişiklikle, KVK Kurulu kararlarının idari yargı mercilerince denetlenmesi sağlanmıştır.

    Önceki uygulamada, KVK Kurulu kararlarına karşı iki aşamalı bir denetleme söz konusuydu. KVK Kurulu'nun idari para cezalarına karşı sulh ceza hakimliğine, idari para cezası dışında kalan kısımları için ise idari yargıya başvurulmaktaydı. Ancak bu uygulama, KVK Kurulu kararlarının denetiminde etkinliği azaltmaktaydı.

    Sulh ceza hakimliği uygulamasının temel sorunu, hukuki belirliliği azaltmasıydı. Bu uygulama, KVKK'nın uygulanmasına yönelik içtihatların gelişimini engelliyordu. Yapılan değişikliklerle, KVK Kurulu kararlarının denetimi için daha etkin bir yöntem oluşturulmuş ve hukuki belirlilik artırılmıştır. Bu değişiklikler, bireyler için daha güvenli bir sistem oluşturmayı amaçlamaktadır.

    Eski 18. Madde

    Kabahatler

    MADDE 18 - (1) Bu Kanunun;

    a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
    b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
    c) 15'nci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
    ç) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

    (2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

    (3) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

    Değişiklik Sonrası 18. Madde

    Kabahatler

    MADDE 18- MADDE 18- (1) Bu Kanunun;

    a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
    b) 12’nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
    c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar,
    ç) 16’ncı maddesinde öngörülen Veri Sorumluları Siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar,
    d) 9 uncu maddenin beşinci fıkrasında öngörülen bildirim yükümlülüğünü yerine getirmeyenler hakkında 50.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.

    (2) Birinci fıkranın (a), (b), (c) ve (ç) bentlerinde öngörülen idari para cezaları veri sorumlusu, (d) bendinde öngörülen idari para cezası veri sorumlusu veya veri işleyen gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.

    (3) Kurulca verilen idari para cezalarına karşı, idare mahkemelerinde dava açılabilir.

    (4) Birinci fıkrada sayılan eylemlerin kamu kurum ve kuruluşları ile kamu kurumu niteliğindeki meslek kuruluşları bünyesinde işlenmesi hâlinde, Kurulun yapacağı bildirim üzerine, ilgili kamu kurum ve kuruluşunda görev yapan memurlar ve diğer kamu görevlileri ile kamu kurumu niteliğindeki meslek kuruluşlarında görev yapanlar hakkında disiplin hükümlerine göre işlem yapılır ve sonucu Kurula bildirilir.

    Değişiklik Özeti

    KVKK kapsamındaki 2024 yılı değişiklikleri özetle şu şekildedir:

    1. Özel nitelikli kişisel verilerin işlenme şartları genişletilmiştir.
    2. Kişisel verilerin yurt dışına aktarılması için yeni ve alternatifli bir rejim oluşturulmuştur.
    3. Açık rıza, yurt dışına kişisel veri aktarılması için genel bir sebep olmaktan çıkartılmıştır; istisnai bir hale getirilmiştir. Açık rızaya dayalı aktarımlara ilişkin özel bir geçiş süreci öngörülmüştür.
    4. Kişisel verilerin yurt dışına aktarılmasında veri işleyenlerin de veri sorumlularla birlikte idari para cezalarından dolayı sorumlu olduğu esası kabul edilmiştir.
    5. KVK Kurulu işlemlerinin tamamına karşı tek bir yargı yolu -idari yargı yolu belirlenmiştir.
    6. Kişisel verilerin yurt dışına aktarılmasına ilişkin (standart sözleşmeleri 5 iş günü içerisinde KVK Kurulu’na bildirmeme) yeni bir kabahat ihdas edilmiştir.

    KVKK değişikliğinin 1 Haziran 2024 tarihinde yürürlüğe girmesi öngörülmektedir. Bu tarihten itibaren Veri Sorumlularının, KVKK’ya uyum kapsamındaki çalışmalarını gözden geçirerek aydınlatma, açık rıza metinlerinde gerekli güncellemeleri yapmaları ve yurt dışı aktarımları ile ilgili standart sözleşmeleri hazırlamaları ve KVK Kurulu’na sunmaları gerekecektir. Eylül 2024 tarihine kadar ise, kişisel verilerin açık rızaya dayalı yurt dışına aktarılmasının devam etmesine imkân tanınmıştır.

    Kurum ve Kuruluşların Yapması Gerekenler

    Değişen maddeler doğrultusunda;

  • Mevcut kişisel veri envanterlerinin ve süreçlerin gözden geçirilmesi gerekmektedir.
  • Değişiklik yapılan maddeler, özel nitelikli kişisel verilerin işlenme şartı ve yurt dışı aktarımı ile ilgili olduğundan hazırlanan aydınlatma ve açık rıza metinlerinde bu doğrultuda güncellemeler yapılmalıdır.
  • Kişisel veri envanterinde yapılan değişiklikler VERBİS kaydını etkiliyor ise VERBİS güncellemesi sağlanmalıdır.
  • Yurt dışına veri aktarımı yapan Kurum ve Kuruluşların, aktarım faaliyetlerini Kişisel Verileri Koruma Kurulu’na beyan etmeleri ve Kurul’un yeterlilik kararını vermesi halinde, yurt dışına veri aktarımı yapabilirler. Aksi takdirde her bir aktarım faaliyet için açık rıza alınması gerekecektir.

  • Bizimle İletişime Geçin
    Sosyal Medyada Paylaş